Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

防火墙过滤器符合 MPLS 流量的条件

您可以为防火墙过滤器配置 MPLS 信息流的匹配条件(family mpls)。

  • input-list filter-names管理output-list filter-names接口和内部以太网接口mplsfxpem0)、回传接口(lo0)、和之外的所有接口上均支持针对协议系列的防火墙过滤器的和语句。USB 调制解调器接口umd()

  • 如果数据包有多个 MPLS 标签,则过滤器会将匹配条件仅应用于标签堆栈中的底部标签。

  • (QFX5100、QFX5110、QFX5200、QFX5210)如果label您要在回传接口上应用 MPLS 过滤器,则只能对、 expttl=1、和 4 tcp层和udp端口号字段进行过滤。对于 TTL,您必须在 TTL ttl=1 = family mpls 1 数据包上明确指定要匹配的项。您可以配置的唯一操作包括acceptdiscardcount。您只能在入口方向上应用过滤器。

表 1介绍了match-conditions可在[edit firewall family mpls filter filter-name term term-name from]层次结构级别配置的。

表 1: 防火墙过滤器符合 MPLS 流量的条件
匹配条件 说明

apply-groups

指定要从中继承配置数据的组。您可以指定一个以上的组名称。您必须按继承优先级顺序列出它们。第一组中的配置数据优先于后续组中的数据。

apply-groups-except

指定不从中继承配置数据的组。您可以指定一个以上的组名称。

destination-port number

在 UDP 或 TCP 目标端口字段上匹配。

为了代替数值,您可以指定以下文本同义词之一(端口号也列出):afsbgpbiffbootpcbootps (1483)、(179)、(512)、(68)、(67)、(514)、(2401)、(67)、(53)、(2105)、(2106)、(512)、(79)、(21)、(20)、(80), cmdcvspserverdhcpdomainekloginekshellexecfingerftpftp-datahttphttps (443)、(113)、(143)、(88)、(543)、(761)、(754)、(760)、(544)、(389)、(646)、(513)、(434)、(435)、(639) identimapkerberos-seckloginkpasswdkrb-propkrbupdatekshellldapldploginmobileip-agentmobilip-mnmsdp (639) netbios-dgm 138)、(137)、(139)、(2049)、(119)、(518)、(123)、(110)、(1723)、(515)、(1813)、(1812)、(520)、(2108)(2108) netbios-nsnetbios-ssnnfsdnntpntalkntppop3pptpprinterradacctradiusriprkinitsmtp 5)、(161)、(162)、(444)、(1080)、(22)、(111)、(514)、(49)、(65)、(517)、(23)、(69)、(525)、(513)或 snmpsnmptrapsnppsockssshsunrpcsyslogtacacstacacs-dstalktelnettftptimedwhoxdmcp (177)。

exp number

实验性(EXP)位号或数据包 MPLS 标头中的位号范围。

对于 数字,您可以指定一个或多个值,以二进制、十进制或十六进制格式从 0 到 7,如下所示:

  • 一个 EXP 位 —例如, exp 3

  • 多个 EXP 位,例如 exp 0,4

  • 一系列 EXP 位, 例如 exp [0-5] , 。应用于回传接口的过滤器不支持这些值。

注:

PTX 系列数据包传输路由器上不支持此匹配条件。

exp-except number

不匹配 MPLS 标头中的 EXP 位数或位号范围。对于number,您可以0通过7指定一个或多个值。

注:

PTX 系列数据包传输路由器上不支持此匹配条件。

forwarding-class class

转发类。指定assured-forwardingbest-effortexpedited-forwarding、或network-control

forwarding-class-except class

在转发类上不匹配。指定assured-forwardingbest-effortexpedited-forwarding、或network-control

interface interface-name

接收数据包的接口。您可以根据接收的接口,配置匹配数据包的匹配条件。

注:

如果您使用不存在的接口配置此匹配条件,则术语不匹配任何数据包。

interface-set interface-set-name

匹配数据包接收到指定接口集的接口。

要定义接口集,请将interface-set语句包含在[edit firewall]层次结构级别。

注:

PTX 系列数据包传输路由器上不支持此匹配条件。

有关更多详细信息,请参阅过滤在接口集上接收的数据包概述

ip-version number

(增强型扩展灵活 PIC 集中器 [FPC] 上的接口T Series路由器上)内部 IP 版本。要匹配 MPLS 标记的 IPv4 数据包,请与文本同义词ipv4匹配。

注:

PTX 系列数据包传输路由器上不支持此匹配条件。

label number

数据包的 MPLS 标头中 MPLS 标签值或标签值的范围。

对于 数字,您可以指定一个或多个从 0 到 1048575 的值(十进制或十六进制格式,如下所示):

  • 单个标签 — 例如, label 3

  • 多个标签,例如 label 0,4

  • 标签范围 — 例如 label [0-5] 。应用于回传接口的过滤器不支持这些值。

loss-priority level

匹配数据包丢失优先级(PLP)级别。

指定一个级别或多个级别:lowmedium-lowmedium-highhigh

在路由器M120路由器M320;M7i CFEB (CFEB-E) M10i路由器的路由器连接;和 MX 系列路由器和 EX 系列交换机。

对于带增强型 II 灵活 PIC 集中器 (FPC) 和 EX 系列交换机的 M320、MX 系列和 T Series 路由器上的 IP 流量,您必须在 层次结构级别包含 语句,以提交采用四个级别中任何一个级别的 tri-color PLP 配置。 [edit class-of-service] 如果未tri-color启用该语句,则只能配置highlow级别。这适用于所有协议系列。

有关该tri-color语句的信息,请参阅配置和应用三色标记监管器。有关使用行为聚合(BA)分类器设置所传入数据包的 PLP 级别的信息,请参阅了解转发类如何将类分配给输出队列

loss-priority-except level

不与 PLP 级别匹配。有关详细信息,请loss-priority参阅 match 条件。

注:

PTX 系列数据包传输路由器上不支持此匹配条件。

source-port number

匹配 TCP 或 UDP 源端口字段。

不能在同一port术语source-port中指定和匹配条件。

如果为 IPv4 流量配置此匹配条件,则建议您同时在同一术语中protocol udp配置protocol tcp或匹配语句,以指定要在端口上使用的协议。

在 "" 下destination-port列出的其中一个文本同义词就是 "数字" 字段。

ttl number

生存时间(TTL)是 MPLS 标签中的一个8位字段,表示数据包在其生命结束和丢弃之前保留的剩余时间。

对于 数字,您可以指定一个从 0 到 255 的值。

表 2介绍可为[edit firewall family mpls filter filter-name term term-name then]层次结构级别 MPLS 防火墙过滤器配置的操作。

表 2: MPLS 防火墙过滤器支持的操作

操作

Description

accept

接受数据包

count counter-name

计算通过此过滤器或术语的数据包数量。

注:

建议为防火墙过滤器中的每个术语配置一个计数器,以便您可以监控与每个过滤器术语中指定的条件相匹配的数据包数量。

discard

无需发送互联网控制消息协议(ICMP)消息就可静默丢弃数据包

policer

从 Junos OS 13.2 X51-D15 开始,您可以将 MPLS 过滤器所匹配的流量发送至双色监管器。

three-color-policer

从 Junos OS 13.2 X51-D15 开始,您可以将 MPLS 过滤器所匹配的流量发送至三色监管器。